IND²UCE Framework

Das IND²UCE (Integrated Distributed Data Usage Control Enforcement) Framework besteht aus drei Schichten:

  • Durchsetzung von Sicherheitsrichtlinien („Enforce“),
  • Entscheidungsfindung („Decide“) und
  • Verwaltung des Frameworks sowie der Sicherheitsrichtlinien („Manage“).

Im Zentrum des Frameworks steht eine generische Entscheidungs­komponente (Policy Decision Point, PDP), welche anhand von Sicherheitsrichtlinien über die Legitimität von sicherheitsrelevanten Ereignissen (bspw. Datenoperationen) entscheidet. Diese Sicherheits­richtlinien basieren auf dem Event-Condition-Action-Paradigma und erlauben zusätzlich die Verwendung der Obligation Specification Language (OSL). Mithilfe von OSL können zukünftige Verbindlichkeiten (engl. Obligation) spezifiziert werden (bspw. „Personenbezogene Daten müssen innerhalb von 14 Tagen gelöscht werden“ oder „Ohne Genehmigung des Vorgesetzten dürfen nur 10 Akten pro Stunde geöffnet werden“).

Durchsetzungskomponenten, so genannte Policy Enforcement Points (PEPs), sind Kontrollpunkte, welche in bestehende Systeme integriert werden, um Informationsflüsse gemäß den spezifizierten Sicherheitsrichtlinien kontrollieren zu können. PEPs erfassen relevante Ereignisse auf verschiedenen Systemebenen und lassen sie je nach Sicherheitsvorgabe zu, modifizieren oder verwerfen sie. Hierbei können Modifikationen, wie beispielsweise Anonymisierungen oder Aggregationen von Daten, sehr feingranular und situationsbedingt gesteuert werden. Die Minimalkonfiguration des IND²UCE-Frameworks zur Durchsetzung von Sicherheitsrichtlinien erfordert einen PDP für die Entscheidungsfindung und einen PEP zum Durchsetzen der Entscheidung.

Policy Execution Points (PXP) können zusätzlich zum PEP kompensierende Aktionen wie das Löschen von Daten, das Protokollieren von Operationen oder das Versenden von Benachrichtigungen durchführen.

Der Policy Management Point (PMP) übernimmt die Verwaltung (Speicherung, Verteilung etc.) der spezifizierten Sicherheitsrichtlinien. Zur Verwaltung der Sicherheitsrichtlinien gehört auch das Aktivieren (engl. Deployment) und das Zurückziehen (engl. Revocation) von Sicherheitsrichtlinien im PDP. Der Policy Retrieval Point (PRP) bietet einen gesicherten Speicher für Sicherheitsrichtlinien. Dieser muss gegen bösartige oder versehentliche Veränderung geschützt werden. Die einzige Komponente mit Zugriff auf diesen Speicher ist der zugehörige PMP.

Der Policy Administration Point (PAP) ist die Mensch-Maschine-Schnittstelle des Frameworks, die dazu dient, Sicherheitsrichtlinien auf benutzerfreundliche Art und Weise zu spezifizieren und zu verwalten. Zudem erfolgt die Administration des Frameworks über den PAP. Eine Instanz unseres Frameworks kann verschiedene PAPs für unterschiedliche Anwendergruppen bereitstellen. Dabei passen wir die PAPs an die Befugnisse und Wissensstände der Endanwender und insbesondere die Spezifikationsmöglichkeiten für Sicherheitsrichtlinien an die Sicherheitsbedürfnisse der Anwendungsdomäne an.

Als letzte Komponente ist der Policy Information Point (PIP) zu nennen. Diese Komponente stellt zusätzliche Informationen bereit, welche für die Entscheidungsfindung im PDP benötigt werden und im abgefangenen Systemereignis selbst nicht vorliegen. Zusätzliche Informationen können Daten über Informationsflüsse (engl. Information Flows) oder kontextabhängige Daten, wie etwa die aktuelle Lokation oder Wi-Fi-Konnektivität eines Endgeräts, sein. Kontextsensitivität erlaubt es, Sicherheitsmechanismen nur dann scharf zu schalten, wenn diese in der Situation angebracht sind. Dies ermöglicht beispielsweise, allgemeine Verbote aufzulockern, zu welchen Unternehmen ansonsten gezwungen sind. Aus dem allgemeinen Verbot „Smartphones sind im Unternehmen verboten, da Fotos von geheimen Dokumenten gemacht werden können“ kann eine kontextsensitive Sicherheitsrichtlinie entstehen, wie zum Beispiel „Fotos, welche mit einem Smartphone innerhalb des Unternehmens aufgenommen wurden, dürfen auch nur dort angesehen werden“.

Anwendungsbeispiele IND²UCE

Das IND²UCE-Framework wurde bereits in unterschiedlichen Anwendungsfällen erprobt. Hier finden Sie weitere Beschreibungen und Videos.

IND²UCE für einen Enterprise Service Bus

Der Schutz sensibler Daten stellt Softwaredienstleister gerade bei der Zusammenarbeit mit internationalen Cloud-Anbietern vor neue Herausforderungen bezüglich der Einhaltung gesetzlicher Richtlinien, wie z. B. dem Bundesdatenschutzgesetz.

Im folgenden Video wird die Durchsetzung von Sicherheitsrichtlinien zur Kontrolle sensibler Daten in einem verteilten System anhand eines Bestellprozesses demonstriert. Hierbei kann ein Kunde ein personalisiertes Produkt (in diesem Fall einen Ausweis) bei einem Zwischenhändler bestellen, welcher je nach Produktanforderungen eine entsprechende Produktionsstätte beauftragt. Die Kontrolle über die ausgetauschten Daten obliegt hierbei dem Kunden, welcher seine Anforderungen an die Sicherheit durch entsprechende Sicherheitsrichtlinien spezifizieren kann. Er kann beispielsweise seinen Namen oder seine E-Mail-Adresse für die Produktionsstätte anonymisieren, um die unerwünschte Verbreitung von Kontaktdaten zu vermeiden. Zudem kann er die Produktion seines Auftrags reglementieren, wodurch der Händler den Auftrag nur ein einziges Mal an eine Produktionsstätte senden kann. Somit kann Plagiarismus vermieden werden. Bei der Produktionsstätte werden die Auftragsdaten je nach gewählter Sicherheitsrichtlinie direkt nach der Produktion oder aber spätestens nach einer vorgegebenen Maximaldauer gelöscht.

Zur Durchsetzung der gewählten Sicherheitsrichtlinien überwacht ein Policy Enforcement Point alle Nachrichten auf dem Enterprise Service Bus und kann diese je nach Entscheidung des Policy Decision Points zulassen, modifizieren oder verwerfen. Eine Leitidee ist die Integration von IND²UCE-Komponenten mit kleinstmöglichen Veränderungen am Softwaresystem.

IND²UCE für Android

Die steigende Popularität mobiler Endgeräte wie Smartphones oder Tablets, Initiativen wie „Bring your own device“ und die zunehmende Überlappung von privater und geschäftlicher Nutzung führen zu neuen Herausforderungen im Bereich der Datensicherheit und des Schutzes geschäftskritischer Daten.

Das folgende Video zeigt die Durchsetzung von Datennutzungskontrolle auf einem Android-Smartphone und verdeutlicht, wie auf dem Gerät befindliche Daten vor unerwünschter Nutzung und Verbreitung geschützt werden können. Beispielsweise kann die Datennutzung eingeschränkt werden, sodass Daten nicht beliebig oft oder nur innerhalb einer gewissen Zeitspanne geöffnet werden können. Anschließend wird der Zugriff verweigert, oder vertrauliche Bereiche der Daten werden anonymisiert. Da der gesamte Informationsfluss auf dem Smartphone verfolgt wird, gelten diese Sicherheitsrichtlinien auch für Kopien der Daten. Zudem können Apps abhängig vom aktuellen Standort (z.B. innerhalb des Firmengeländes oder außerhalb) gesperrt und diverse Funktionen des Smartphones eingeschränkt werden.

IND²UCE in einem Ambient-Assisted-Living-Szenario

Ambient-Assisted-Living-(AAL-) Systeme unterstützen ältere Menschen in ihrer häuslichen Umgebung, indem sie Verhalten, Gesundheitszustand und Umgebungsinformationen überwachen, ohne aktiv in die gewohnte Lebensweise einzugreifen. Die bei der Überwachung erhobenen Daten werden gespeichert und zu höherwertigen medizinisch relevanten Ergebnissen aggregiert, mit deren Hilfe medizinisches Personal eine Verschlechterung des Gesundheitszustands des Patienten erkennen kann.

Es ist sofort ersichtlich, dass in diesem Rahmen viele personenbezogene Daten gespeichert, aggregiert und von verschiedenen Akteuren, wie beispielsweise Ärzten, Pflegepersonal oder Verwandten, genutzt werden. Bisher wurden bei solchen Systemen nur wenige Sicherheitsmaßnahmen implementiert. Das Fraunhofer IESE integriert Datennutzungskontrolle in reale AAL-Systeme, um eine ungewollte Nutzung personenbezogener Daten zu verhindern.

In dem gezeigten Szenario kann Pflegepersonal mithilfe eines Android-Smartphones Daten zur Gesundheitsüberwachung in der Wohnung abrufen. Wird die Wohnung des Patienten verlassen, lassen sich nur noch kritische Gesundheitsinformationen verarbeiten. Alle sonstigen Daten werden anonymisiert.

IND²UCE mit einer kontextsensitiven Richtlinienauswertung auf Android-basierten Geräten

Mitarbeiter arbeiten häufig in wechselnden Arbeitssituationen, wie in Besprechungen, auf Dienstreisen in öffentlichen Verkehrsmitteln, im eigenen Büro, beim Kunden oder in ähnlichen Umgebungen. Bei der Verwendung von Smartphones in Unternehmen ist es deshalb von Vorteil, Sicherheitsrichtlinien stets der aktuellen Situation anzupassen. So könnte beispielsweise der Einsatz der Kamera in sensitiven Bereichen des Firmengeländes untersagt werden. Zudem dürfen in Besprechungsräumen aufgenommene Audiodateien nur innerhalb des Firmengeländes abgespielt, aber nicht verbreitet werden.

IND²UCE für Android unterstützt diesbezüglich eine automatische Aggregation von Sensorwerten zu einem übergeordneten Nutzungskontext, wie beispielsweise „Der Mitarbeiter befindet sich in einer Besprechung“. Diese Kontextbewertung erlaubt eine flexible Anpassung an die aktuelle Situation und vereinfacht das Spezifizieren der Sicherheitsrichtlinien immens.